AuthentiDate SLM Base Component Ver. 2.9

Ähnliche Dokumente
Herstellererklärung für eine Signaturanwendungskomponente gemäß 17(4) Satz 2 Signaturgesetz 1. R&L AG Frühlingstraße Landshut

KOBIL Chipkartenterminal KAAN Advanced (USB/RS232)

TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Am Technologiepark Essen

Signatur-Modul für die KOBIL Chipkartenterminals EMV-TriCAP Reader / SecOVID Reader III / KAAN

Herstellererklärung für eine Signaturanwendungskomponente gemäß 17(4) Satz 2 Signaturgesetz 1. R&L AG Frühlingstraße Landshut

Herstellererklärung. Der Hersteller. Springtime GmbH Höhenstraße Bad Schwalbach

HERSTELLERERKLÄRUNG. Der Hersteller. secunet Security Networks AG 1 Kronprinzenstraße Essen

Bestätigung. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Zertifizierungsstelle Langemarckstraße Essen

Anleitung zum Einreichen einer Herstellererklärung

Bestätigung für technische Komponenten gemäß 14 (4) Gesetz zur digitalen Signatur und 16 und 17 Signaturverordnung

Herstellererklärung. für eine Signaturanwendungskomponente. Gateway Version 1.11

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Am Technologiepark 1.

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der TÜV NORD Gruppe - Zertifizierungsstelle Langemarckstraße Essen

Bestätigung von Produkten für qualifizierte elektronische Signaturen

TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Am Technologiepark Essen

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Herstellererklärung. Die. Authentidate Deutschland GmbH. Rethelstraße Düsseldorf

Nachtrag Nr. 1 zur Sicherheitsbestätigung BSI TE OPENLiMiT SignCubes base components 2.5, Version

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Am Technologiepark 1.

Herstellererklärung Herstellererklärung. des Herstellers. DocuWare AG Therese-Giehse-Platz Germering

Sicherheitsbestätigung und Bericht. T-Systems SE Zertifizierungsdiensteanbieter Deutsche Post Com GmbH Geschäftsfeld Signtrust

Beschreibung der technischen Komponente:

Herstellererklärung. Die. Applied Security GmbH. Industriestr. 16. D Stockstadt am Main

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Langemarckstraße 20.

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Langemarckstraße Essen

Herstellererklärung. Der Hersteller. SecCommerce Informationssysteme GmbH Obenhauptstraße Hamburg

Unterstützte Kombinationen: Chipkartenlesegeräte, Signaturkarten und Betriebssysteme

Die Software "Cherry SmartDevice Setup" unterstützt das Lesen und Schreiben von Chipkarten für folgende Cherry Produkte:

Rechtsanwaltskammer München

Konformitätsbestätigung für die Umsetzung von Sicherheitskonzepten

Bestätigung. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Zertifizierungsstelle Langemarckstraße Essen

Bestätigung. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Zertifizierungsstelle Langemarckstraße Essen

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 4.4 Berlin, Februar Copyright 2017, Bundesdruckerei GmbH

Herstellererklärung. Der Hersteller. bremen online services Entwicklungs- und Betriebsgesellschaft mbh & Co. KG. Am Fallturm 9.

HERSTELLERERKLÄRUNG. Der Hersteller. erklärt hiermit gemäß 17 Abs. 4 Satz 2 SigG 1 in Verbindung mit 15 Abs. 5 SigV 2, dass sein Produkt

Nachtrag Nr. 3 zur Sicherheitsbestätigung BSI TE OPENLiMiT SignCubes base components 2.5, Version

S-TRUST Sign-it base components 2.5, Version

Die Virtuelle Poststelle des Bundes

Bestätigung für technische Komponenten gemäß 14 (4) Gesetz zur digitalen Signatur und 16 und 17 Signaturverordnung

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 5.1 Berlin, April Copyright 2017, Bundesdruckerei GmbH

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Nachtrag 1 zur Herstellererklärung für SecSigner 3.6 vom Der Hersteller

S-TRUST Sign-it base components 2.5, Version

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Systemvoraussetzungen Datenblatt zu Sign Live! CC 7.0

HERSTELLERERKLÄRUNG. Der Hersteller. Hypercom GmbH Konrad Zuse - Str D Bad Hersfeld

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Qualifizierte Signaturkarten

Herstellererklärung. Version 1.4, Stand menten GmbH. Hauptstraße Bergisch Gladbach

Qualifizierte Signaturkarten

Nachtrag 1. zur Herstellererklärung des Produktes Sign Live! CC remote signer 5.1 vom Die

Getting Started

Unterstützte Kombinationen: Chipkartenlesegeräte, Signaturkarten und Betriebssysteme

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.8 Berlin, Januar Copyright 2016, Bundesdruckerei GmbH

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Bestätigung. TÜV Informationstechnik GmbH Member of TÜV NORD GROUP Zertifizierungsstelle Langemarckstraße Essen

Installationsanleitung

Anleitung zur Prüfung von qualifizierten elektronischen Signaturen nach schweizerischem Signaturgesetz

Dieses Dokument beschreibt die Installation des Governikus Add-In for Microsoft Office (Governikus Add-In) auf Ihrem Arbeitsplatz.

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.5 Berlin, März Copyright 2015, Bundesdruckerei GmbH

Bestätigung. TÜV Informationstechnik GmbH Unternehmensgruppe TÜV NORD Zertifizierungsstelle Langemarckstraße Essen

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.0 Berlin, November Copyright 2013, Bundesdruckerei GmbH

Bestätigung von Produkten für qualifizierte elektronische Signaturen

Transkript:

Herstellererklärung zu einem Produkt für qualifizierte elektronische Signaturen gemäß 17 Abs. 4 Satz 2 Signaturgesetz Großenbaumer Weg 6 40472 Düsseldorf Tel: +49 (0) 211 436989-0 Fax: +49 (0) 211 436989-19 EMail: info@authentidate.de

Herstellererklärung zu einem Produkt für qualifizierte elektronische Signaturen gemäß 17 Abs. 4 Satz 2 Signaturgesetz 1 Großenbaumer Weg 6 40472 Düsseldorf erklärt hiermit gemäß 17 Abs. 4 Satz 2 Signaturgesetz 1, dass das Produkt AuthentiDate den nachstehend genannten Anforderungen des Signaturgesetzes 1, bzw. der Signaturverordnung 2 entspricht. Düsseldorf, den 20.07.2006 Düsseldorf, den 20.07.2006 gez. Jan Wendenburg Geschäftsführer gez. Dr. Percy Dahm Geschäftsführer 1 Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer Vorschriften in der Fassung vom 16. Mai 2001, Bundesgesetzblatt 2001, Teil I, Nr. 22 vom 21. Mai 2001, S. 876 ff, Stand: Geändert durch Art. 1 G v. 4. 1.2005 I 2 2 Verordnung zur elektronischen Signatur in der Fassung vom 16. November 2001, Bundesgesetzblatt 2001, Teil I, Nr. 59 vom 21. November 2001, S. 3074 ff, Stand: Geändert durch Art. 2 G v. 4. 1.2005 I 2 Die vorliegende Herstellererklärung mit der Dokumenten-Nummer MDADDSLMBC2.9-1 besteht aus 7 Seiten einschließlich Deckblatt. - 2 -

Beschreibung des Produkts für qualifizierte elektronische Signaturen: 1 Hersteller und Handelsbezeichnung des Produkts Hersteller des Produkts ist die. Die AuthentiDate Deutschland GmbH ist ein Tochterunternehmen der AuthentiDate International AG: Großenbaumer Weg 6 40472 Düsseldorf Telefonnummer: 0211 436989 0 Telefax: 0211 436989 19 Geschäftsführer: Jan Wendenburg, Dr. Percy Dahm Handelsregisterauszug: HR B 41892 Die Handelsbezeichnung des Produkts ist: AuthentiDate Version 2.9 2 Lieferumfang und Versionsinformationen Die Software wird auf einer CD oder über einen vertrauenswürdigen Software-Download ausgeliefert. Die Auslieferung beinhaltet folgende Komponente: Bezeichnung Version Beschreibung SLMBC-2.9.zip 2.9 Software-Archiv inkl. Dokumentation SLMBC-2.9.zip.p7s Qualifizierter Zeitstempel zum Software-Archiv Das Produkt nutzt die folgenden nach Signaturgesetz bestätigten Produkte, die von Dritten hergestellt werden und nicht Bestandteil dieser Erklärung sind: Bezeichnung Version Bestätigungs-ID Kobil Kaan Professional FW 2.08 TUVIT.09331.TE.03.2002 Kobil B1 Professional FW 2.08 TUVIT.09331.TE.03.2002 ReinerSCT CyberJack e-com 2.0 TUVIT.09363.TE.06.2002 Cherry SmartBoard xx44 FW 1.04 BSI.02048.TE.12.2004 Cherry SmartTerminal ST-2xxx FW 5.08 BSI.02059.TE.02.2006 TeleSec Signaturkarte PKS-Card, E4KeyCard, E4NetKeyCard 3.0, 3.01 TUVIT.09339.TE.12.2000 3 Funktionsbeschreibung und Eigenschaften AuthentiDate Version 2.9 ist ein Produkt für qualifizierte elektronische Signaturen. Es ist für folgende Aufgabenbereiche bestimmt: a) Erzeugung von qualifizierten elektronischen Signaturen als Signaturanwendungskomponente gemäß SigG b) Prüfung von qualifizierten elektronischen Signaturen als Signaturanwendungskomponente gemäß SigG - 3 -

Bei der Erstellung qualifizierter elektronischer Signaturen schützt das Produkt die zu signierenden Daten vor unbefugter Manipulation in der Zeit vor, während und nach Ihrer optionalen Anzeige und dem Erzeugen von Signaturen. Für die Erzeugung von Signaturen werden optional mehrere sichere Signaturerstellungseinheiten gleichzeitig verwendet. Mit der Erzeugung von Signaturen können optional qualifizierte Zeitstempel zum Nachweis des Zeitpunktes der Erstellung eingeholt und in die Signatur eingebettet werden. Bei der Prüfung elektronischer Signaturen schützt das Produkt die zu prüfenden Daten vor unbefugter Manipulation in der Zeit vor, während und nach Ihrer Prüfung zusammen mit den Prüfergebnissen. Die Prüfung erfolgt nach Anforderung durch den Prüfenden entweder teilweise oder vollständig unter Beachtung hinreichend aktueller Auskünfte zuständiger Zertifizierungsdienste zu der Existenz und Sperrung von Zertifikaten. Die Auskünfte holt das Produkt bei Bedarf vom jeweiligen Zertifizierungsdienst ein. In die zu prüfenden Signaturen eingebettete qualifizierte Zeitstempel werden auf gleichem Wege überprüft. Die Verwendung sicherer Signaturerstellungseinheiten nach 17 Abs. 1 Signaturgesetz, bzw. 15 Abs. 1 Signaturverordnung, sowie nach den Anforderungen von Signaturgesetz und Verordnung geprüfter und bestätigter Chipkarten-Terminals wird vorausgesetzt. Diese gehören nicht zum Lieferumfang des Produkts. Identifikationsdaten zur Anwendung von Signaturschlüsseln werden durch das Produkt weder verarbeitet noch gespeichert. Der Zugriff auf die Signaturerstellungseinheiten erfolgt durch Chipkarten-Terminals, die über eigene Tastatur und Display verfügen. Die Eingabe der Identifikationsdaten erfolgt ausschließlich über die Tastatur des verwendeten Chipkarten-Terminals. Bei der Prüfung von Signaturen und Zertifikaten wird das Kettenmodell angewendet. Hierbei ermöglicht das Produkt festzustellen, 1. auf welche Daten sich die Signatur bezieht, 2. ob die signierten Daten unverändert sind, 3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist, 4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen und 5. zu welchem Ergebnis die Nachprüfung von Zertifikaten geführt hat. Weitere Eigenschaften des Produktes sind nicht Gegenstand der vorliegenden Erklärung. 4 Erfüllung der Anforderungen des Signaturgesetzes und der Signaturverordnung Das Produkt erfüllt die Anforderungen nach 17 Abs. 2 Signaturgesetz und 15 Abs. 2 und Abs. 4 Signaturverordnung. 17 Abs. 2 Signaturgesetz: Für die Darstellung zu signierender Daten sind Signaturanwendungskomponenten erforderlich, die die Erzeugung einer qualifizierten elektronischen Signatur vorher eindeutig anzeigen und feststellen lassen, auf welche Daten sich die Signatur bezieht. Für die Überprüfung signierter Daten sind Signaturanwendungskomponenten erforderlich, die feststellen lassen, 1. auf welche Daten sich die Signatur bezieht, 2. ob die signierten Daten unverändert sind, 3. welchem Signaturschlüssel-Inhaber die Signatur zuzuordnen ist, 4. welche Inhalte das qualifizierte Zertifikat, auf dem die Signatur beruht, und zugehörige qualifizierte Attribut-Zertifikate aufweisen und 5. zu welchem Ergebnis die Nachprüfung von Zertifikaten nach 5 Abs. 1 Satz 2 geführt hat. Signaturanwendungskomponenten müssen nach Bedarf auch den Inhalt der zu signierenden oder signierten Daten hinreichend erkennen lassen. Die Signaturschlüssel-Inhaber sollen solche Signaturanwendungskomponenten einsetzen oder andere geeignete Maßnahmen zur Sicherheit qualifizierter elektronischer Signaturen treffen. - 4 -

15 Abs. 2 Signaturverordnung: Signaturanwendungskomponenten nach 17 Abs. 2 des Signaturgesetzes müssen gewährleisten, dass 1. bei der Erzeugung einer qualifizierten elektronischen Signatur a) die Identifikationsdaten nicht preisgegeben und diese nur auf der jeweiligen sicheren Signaturerstellungseinheit gespeichert werden, b) eine Signatur nur durch die berechtigt signierende Person erfolgt, c) die Erzeugung einer Signatur vorher eindeutig angezeigt wird und 2. bei der Prüfung einer qualifizierten elektronischen Signatur a) die Korrektheit der Signatur zuverlässig geprüft und zutreffend angezeigt wird und b) eindeutig erkennbar wird, ob die nachgeprüften qualifizierten Zertifikate im jeweiligen Zertifikat-Verzeichnis zum angegebenen Zeitpunkt vorhanden und nicht gesperrt waren. 15 Abs. 4 Signaturverordnung: Sicherheitstechnische Veränderungen an technischen Komponenten nach den Absätzen 1 bis 3 müssen für den Nutzer erkennbar werden. 5 Maßnahmen in der Einsatzumgebung Das Produkt darf ausschließlich unter Beachtung der nachfolgend aufgeführten Voraussetzungen, bzw. Mindest-Voraussetzungen eingesetzt werden: 5.1 Technische Einsatzumgebung Für die technische Einsatzumgebung sind die folgenden Voraussetzungen zu schaffen, bzw. einzuhalten: Hardware: Prozessoranforderungen entsprechen den Anforderungen der verwendeten Betriebsysteme mindestens 512 MB RAM, 40 GB Festplattenspeicher, Netzwerkschnittstelle (Ethernet), USB-Port oder RS232-Schnittstelle Betriebssysteme: Microsoft Windows o Microsoft Windows 2000 ab ServicePack 4 (SP4) o Microsoft Windows XP ab ServicePack 2 (SP2) o Microsoft Windows 2003 Server ab ServicePack 1 (SP1) Linux Betriebsysteme (Kernel Versionen ab 2.6.9) o Red Hat Enterprise Server o Suse Enterprise Server Chipkartenterminals: gemäß Signaturgesetz und verordnung geprüfte und bestätigte Chipkarten Terminals (siehe 2) Personalisierte Signaturkarten: gemäß Signaturgesetz und verordnung geprüfte und bestätigte Signaturkarten (siehe 2) - 5 -

5.2 Organisatorische und administrative Einsatzumgebung Für die organisatorische und administrative Einsatzumgebung sind die folgenden Mindest- Voraussetzungen zu schaffen, bzw. einzuhalten: Das Produkt muss in einem geschützten Einsatzbereich gemäß Einheitliche Spezifizierung der Einsatzbedingungen für Signaturanwendungskomponenten der Bundesnetzagentur, Version 1.4, Stand 19.07.2005, betrieben werden. Vor Installation und während des Betriebes des Produkts ist sicherzustellen, dass die Sicherheit des Rechners und die Sicherheit des installierten Betriebssystems nicht kompromittiert sind. Das auf dem Rechner installierte Betriebssystem ist bezüglich verfügbarer Security Fixes und Updates auf einem aktuellen Stand zu halten. Der Rechner darf nicht direkt mit einem öffentlichen Netz (z.b. Internet) verbunden sein. Insbesondere darf es von einem öffentlichen Netz aus praktisch nicht möglich sein, auf diesen Rechner zuzugreifen. Die zu verwendenden Chipkarten-Terminals sind unmittelbar mit dem Rechner verbunden, auf dem das Produkt installiert und betrieben wird (kein KIOSK-System). Die Systemzeit muss korrekt sein. Es wird empfohlen die Systemzeit über eine entsprechende Zeitreferenz (NTP) zu synchronisieren. Die System- und Produkt-Administratoren sind vertrauenswürdig, zuverlässig und adäquat ausgebildet. 5.3 Auslieferung und Installation Die Software wird auf einer CD oder über einen vertrauenswürdigen Software-Download ausgeliefert. Das spezifizierte Auslieferungs- und Installationsverfahren ist einzuhalten. Bei Installation, Einrichtung und Betrieb sind die Vorgaben des Benutzer- und Administratorhandbuchs zu beachten. 6 Empfehlungen und Hinweise an den Anwender Bei einer Anwendung des Produkts im Rahmen einer starken Prozesskopplung muss sichergestellt werden, dass Signaturen nur für bestimmte, gleichartige Datentypen erzeugt werden. In diesem Zusammenhang ist von der durch den EVG angebotenen Beschränkung der Verbindlichkeit von Signaturen durch einschränkende Attributzertifikate Gebrauch zu machen. Bei der Verwendung mehrerer, parallel betriebener Signaturkarten, ist über die Gruppenverwaltung dafür Sorge zu tragen, dass die resultierenden Signaturen für jeden Prozess/Datentyp gleichwertig sind. 7 Algorithmen und zugehörige Parameter Zur Erzeugung qualifizierter elektronischer Signaturen werden vom Produkt die Hashfunktionen SHA - 1, SHA-256, SHA-384, SHA-512 und RIPEMD-160 bereitgestellt. Zur Prüfung qualifizierter elektronischer Signaturen werden vom Produkt die Hashfunktionen SHA -1, SHA -256, SHA-384, SHA-512 und RIPEMD-160 sowie der RSA-Algorithmus mit einer Schlüssellänge von 1024 Bit bis 2048 Bit bereitgestellt. Die verwendeten kryptografischen Algorithmen sind gemäß der Veröffentlichung im Bundesanzeiger vom 23. März 2006, Nr. 58, S. 1913-1915 Geeignete Algorithmen zur Erfüllung der Anforderungen nach 17 Abs. 1 bis 3 SigG vom 22. Mai 2001 in Verbindung mit Anlage 1 Abschnitt 1 Nr. 2 SigV vom 22. November 2001 als geeignet eingestuft. Die verwendeten Hashalgorithmen RIPEMD-160 und SHA -1 gelten bis Ende 2010, bzw. im Fall von SHA-1 bis Ende 2009 als geeignet. Die verwendeten Hashalgorithmen SHA-256, SHA-384 und SHA - 512 sind geeignet, um ein langfristiges Sicherheitsniveau zu gewährleisten. Der RSA-Algorithmus mit - 6 -

einer Schlüssellänge von 1024 Bit gilt bis Ende 2007 als geeignet. Für die Gewährleistung eines langfristigen Sicherheitsniveaus wird grundsätzlich die Erhöhung auf 2048 Bit empfohlen. 8 Gültigkeit der Herstellererklärung Diese Erklärung ist bis zum Widerruf, längstens jedoch bis zum 31.12.2007 gültig. Der aktuelle Status der Gültigkeit der Erklärung ist bei der zuständigen Behörde (Bundesnetzagentur, Referat Elektronische Signatur) zu erfragen. 9 Zusatzdokumentation Folgende Bestandteile der Herstellererklärung wurden aus dem Veröffentlichungstext ausgegliedert und bei der zuständigen Behörde hinterlegt: Prüfbericht SLMBC2.9 Ver.1.0 Sicherheitsvorgaben SLMBC2.9 Ver.2.4.1 Funktionale Spezifikation SLMBC2.9 Ver.1.0 Funktionale Tests SLMBC2.9 Ver.1.0 Konfigurationsmanagement SLMBC2.9 Ver.1.0 Transport, Installation, Anlauf und Betrieb SLMBC2.9 Ver.1.0 Lebenszyklusunterstützung SLMBC2.9 Ver.1.0 10 Inhalt der Erklärung Diese Herstellererklärung dient ausschließlich dazu, die Erfüllung der vorstehend genannten Anforderungen des Signaturgesetzes und der Signaturverordnung zu erklären. Eine Übernahme weiterer Garantien oder Zusicherungen betreffend der Eigenschaften des Produktes ist damit nicht verbunden. Insbesondere weist AuthentiDate darauf hin, dass die vorstehend genannten Anforderungen nur erfüllt sind, wenn der Nutzer die gemäss Ziffer 5 vorgeschriebenen Einsatzbedingungen einhält. - Ende der Herstellererklärung - - 7 -

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback